Se usó la API de Cloud Translation para traducir esta página.

Emitir certificados que certifiquen la identidad de terceros

En este instructivo, se muestra cómo puedes emitir certificados que certifiquen un identidad de terceros con reflexión sobre la identidad y grupos de identidades para cargas de trabajo.

Puedes usar la reflexión de identidad para crear certificados que coincidan con la identidad verificada de un solicitante de certificados. Con la reflexión de identidad, puedes limitar a un solicitante de certificados sin privilegios para que solicite solo certificados con un nombre alternativo de asunto (SAN) que corresponda a la identidad en su credencial.

Objetivos

En este instructivo, se proporciona información sobre cómo puedes usar CA Service con grupos de Workload Identity para federar una identidad de terceros y obtener un que acredite esa identidad.

Antes de comenzar

Antes de comenzar, asegúrate de comprender los siguientes conceptos:

Grupos de identidades para cargas de trabajo: Los grupos de identidades para cargas de trabajo te permiten administrar contenido proveedores de identidad. Para obtener más información, consulta Administra grupos y proveedores de Workload Identity.
Federación de identidades para cargas de trabajo: La federación de identidades para cargas de trabajo aprovecha la grupos de identidades para cargas de trabajo para otorgar a las identidades de terceros acceso a Google Cloud de Google Cloud. Para obtener más información, consulta Workload Identity federación pública.
Servicio de tokens de seguridad (STS): El servicio de tokens de seguridad te permite intercambiar credenciales de terceros por tokens propios (de Google Cloud). Para ver más consulta Servicio de tokens de seguridad.
Reflexión de identidad: La función de reflexión de identidad permite que la de un solicitante de un certificado ir al certificado solicitado. Para obtener más información, consulta Reflexión de identidad.

Asegúrate de tener los siguientes roles de IAM:

Administrar autoridades certificadoras (AC) y grupos de AC, y solicitar certificados, debes tener el administrador (privateca.caManager). Para obtener más información sobre los roles de IAM del servicio de CA, consulta Control de acceso con IAM.
Para administrar grupos y proveedores de identidades para cargas de trabajo, debes tener el rol de Administrador de grupos de Workload Identity (iam.workloadIdentityPoolAdmin).
Para crear una cuenta de servicio, debes contar con el administrador (iam.serviceAccountAdmin).

Para obtener información sobre cómo otorgar roles de IAM, consulta Administra el acceso a proyectos, carpetas y organizaciones. Puedes otorgarle al roles de IAM necesarios a una Cuenta de Google, una cuenta de servicio, un grupo de Google, una cuenta de Google Workspace o un dominio de Cloud Identity.

Configura un proveedor y un grupo de Workload Identity

En este instructivo, se explica cómo usar Google OpenID Connect (OIDC) de servicios combinados con una cuenta de servicio para que actúe como identidad de terceros. El El proveedor de OIDC de Cuentas de Google actúa como un proveedor de identidad (IdP) de terceros y la cuenta de servicio de Google Cloud es una identidad de terceros de muestra que confirma este IdP.

Los grupos de Workload Identity admiten una variedad de proveedores de identidad, como Microsoft Azure/Active Directory local, AWS y proveedores de identidad basados en SAML.

Para configurar un proveedor y un grupo de identidades para cargas de trabajo, haz lo siguiente: 1. Para representar un conjunto confiable de identidades federadas, crea un grupo de identidades para cargas de trabajo:

```
gcloud iam workload-identity-pools create IDENTITY_POOL_ID --location global --display-name "tutorial-wip"
```

Replace the following:

- <var>IDENTITY_POOL_ID</var>: The unique identifier of the new workload
  identity pool.

Crea un proveedor de grupos de identidades para cargas de trabajo para tu proveedor de identidad de terceros:
```
gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID --location global --workload-identity-pool IDENTITY_POOL_ID --display-name "tutorial-oidc" --attribute-mapping "google.subject=assertion.sub" --issuer-uri="https://accounts.google.com"
```
Reemplaza lo siguiente:
- PROVIDER_ID: Es el identificador único del proveedor de identidad. que quieres crear en el grupo de Workload Identity.
Puedes personalizar las siguientes marcas según tu caso de uso:
- attribute-mapping: Esta marca establece la asignación entre el tercero al reclamo principal de Google, google.subject. google.subject es una asignación obligatoria que puedes configurar para cualquier reclamo o combinación de declaraciones con un protocolo CEL expresión. Para obtener más información, consulta Define una condición y la asignación de atributos.
- issuer-uri: Para los proveedores de OIDC, esta marca es de acceso público extremo con el que Google se comunica para verificar información tokens. Para obtener más información, consulta Cómo preparar un proveedor de identidad externo.
Si deseas obtener más información para configurar un proveedor de identidades de cargas de trabajo, consulta Configura la federación de identidades de cargas de trabajo.

Crea un grupo de AC y una AC emisora

En esta sección, se explica cómo crear un grupo de AC y agregar una raíz AC. Puedes usar este grupo de AC para emitir certificados con identidad reflejada. Si deseas usar un grupo de AC y una AC existentes, puedes omitir esta sección.

En lugar de una AC raíz, también puedes optar por crear una AC subordinada. Creando una AC raíz ayuda a acortar el procedimiento.

Crea un grupo de AC en el nivel de DevOps:
```
gcloud privateca pools create CA_POOL_ID --location LOCATION --tier devops
```
Reemplaza lo siguiente:
- CA_POOL_ID: Es el ID del grupo de AC del Servicio de AC que emite certificados.
- LOCATION: Es la ubicación del grupo de AC.
Para obtener más información sobre la creación de grupos de AC, consulta Crea un grupo de AC.
Crea una CA raíz:
```
gcloud privateca roots create CA_ID --pool CA_POOL_ID  --location LOCATION --subject "CN=test,O=test-org"
```
Reemplaza lo siguiente:
- CA_ID: Es el ID de la autoridad certificadora que emite los certificados.
- CA_POOL_ID: Es el ID del grupo de AC del Servicio de AC que emite certificados.
- LOCATION: Es la ubicación del grupo de AC.
Para obtener más información sobre cómo crear una AC raíz, consulta Crea una AC raíz.
Habilita las identidades federadas desde el grupo de identidades para cargas de trabajo para emitir certificados del grupo de AC. La reflexión de identidad requiere el rol de IAM de solicitante de certificados de cargas de trabajo del servicio de AC (roles/privateca.workloadCertificateRequester) para los solicitantes de CreateCertificate.

Puedes representar las principales del grupo de identidades de cargas de trabajo en varios niveles de detalle, desde un solo sujeto hasta todas las identidades del grupo en todos los proveedores. Para obtener más información, consulta las principales o conjuntos de principales disponibles (usa la pestaña de Google Cloud CLI) según tu caso de uso.

Nota: No es necesario que uses la identidad de una cuenta de servicio para comunicarte con el servicio de AC.
```
gcloud privateca pools add-iam-policy-binding CA_POOL_ID --location LOCATION --role roles/privateca.workloadCertificateRequester --member "principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/*"
```
Reemplaza lo siguiente:
- PROJECT_NUMBER: Es el número del proyecto en el que creaste el grupo de identidades para cargas de trabajo.

Crea una cuenta de servicio que represente una identidad de terceros

En el siguiente procedimiento, se da por sentado que una cuenta de servicio representa un de terceros. En esta sección, se muestra cómo puedes usar el extremo de IAM GenerateIdToken para recuperar una identidad de terceros en forma de un token de OIDC. Según el caso de uso, podrías necesitar diferentes pasos para obtener el token de identidad de terceros que elijas.

gcloud iam service-accounts create SERVICE_ACCOUNT

Reemplaza lo siguiente:

SERVICE_ACCOUNT: Es el ID de la cuenta de servicio que representa la identidad de terceros.

Emitir un certificado que certifique la identidad de un tercero

Antes de comenzar, asegúrate de tener el Creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator) de IAM. Lo necesitas Rol de IAM para llamar a la API de GenerateIdToken.

Para obtener un certificado que certifique la identidad de un tercero, haz lo siguiente:

Obtén un token de identidad de terceros de tu proveedor de identidad de terceros.
curl
Nota: Para ejecutar este comando, necesitas python3 CLI.
```
export ID_TOKEN=`curl -d '{"audience":"//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID"}' -H 'Content-Type: application/json' -H "Authorization: Bearer $(gcloud auth print-access-token)" https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com:generateIdToken | python3 -c "import sys;import json;print(json.load(sys.stdin)['token'])"`
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el ID del proyecto de Google Cloud en el que deseas crear recursos.
Bibliotecas cliente
Nota: Este flujo requiere las bibliotecas cliente basadas en Python para de Google Cloud. Para obtener información sobre cómo instalar bibliotecas cliente, consulta Cliente de Python para Servicio de AC

Para acceder al token de terceros de manera programática, puedes obtener un token de un una credencial basada en archivos o una credencial basada en la URL. Para obtener más información, consulta Autentica mediante bibliotecas cliente, la CLI de gcloud o Terraform. En este instructivo, seguimos un flujo de trabajo de credenciales de fuente de archivos.

Carga tu credencial en una ruta que pueda leer el solicitante de certificado:
```
curl -d '{"audience":"//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID"}' -H 'Content-Type: application/json' -H "Authorization: Bearer $(gcloud auth print-access-token)" https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com:generateIdToken | python3 -c "import sys;import json;       print(json.load(sys.stdin)['token']) > /tmp/oidc_token.txt
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el ID del proyecto en el que deseas crear recursos.

Intercambia tu token de terceros por un token de OAuth federado con el extremo token de STS:

curl

export STS_TOKEN=`curl -L -X POST 'https://sts.googleapis.com/v1/token' -H 'Content-Type: application/json' \
-d '{
    "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
    "audience": "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID",
    "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
    "scope": "https://www.googleapis.com/auth/cloud-platform",
    "subject_token": "'$ID_TOKEN'",
    "subject_token_type": "urn:ietf:params:oauth:token-type:jwt"
}' | python3 -c "import sys;import json; print(json.load(sys.stdin)['access_token'])"`

Bibliotecas cliente

Crea una credencial de configuración llamado oidc_token.txt que el certificado que solicita código puede leer para realizar un intercambio de token.

gcloud iam workload-identity-pools create-cred-config projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID --output-file=/tmp/cred_config.json --credential-source-file=/tmp/oidc_token.txt

Lee el archivo oidc_token.txt para configurar el mecanismo de autorización en el cliente biblioteca:

python

import json

from google.auth import identity_pool

with open('/tmp/cred_config.json', 'r') as f:
  json_config_info = json.loads(f.read())
credentials = identity_pool.Credentials.from_info(json_config_info)
scoped_credentials = credentials.with_scopes(
    ['https://www.googleapis.com/auth/cloud-platform'])

Realiza una solicitud al servicio de CA con el modo de solicitud de asunto REFLECTED_SPIFFE:

curl

Opcional: Si no tienes una CSR, ejecútala con el siguiente comando.

Nota: El siguiente comando crea una CSR sin asunto. El servicio de AC agregará un asunto que refleje la identidad del solicitante del certificado.
```
export TUTORIAL_CSR=$(openssl req -newkey rsa:2048 -nodes -subj / -keyout tutorial_do_not_use.key)
```

Solicita un certificado con la CSR, un ciclo de vida y un certificado modo de solicitud de asunto:

curl -H "Authorization: Bearer $(echo $STS_TOKEN)" https://privateca.googleapis.com/v1/projects/PROJECT_NUMBER/locations/LOCATION/caPools/CA_POOL_ID/certificates\?alt\=json  -X POST -H "Content-Type: application/json" -H 'Accept: application/json' --data '{"lifetime": "100s", "pemCsr": "'$TUTORIAL_CSR'", "subjectMode": "REFLECTED_SPIFFE"}'

Bibliotecas cliente

Para reenviar el token propio al Servicio de CA, debes hacer lo siguiente: crear un cliente con credenciales. Luego, puedes usar este cliente con credenciales para realizar solicitudes de certificados:

Inicia un cliente del servicio de AC con credenciales:

python

caServiceClient = privateca_v1.CertificateAuthorityServiceClient(credentials=scoped_credentials)

Solicita un certificado.

Python

Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.

import google.cloud.security.privateca_v1 as privateca_v1
from google.protobuf import duration_pb2


def create_certificate(
    project_id: str,
    location: str,
    ca_pool_name: str,
    ca_name: str,
    certificate_name: str,
    common_name: str,
    domain_name: str,
    certificate_lifetime: int,
    public_key_bytes: bytes,
) -> None:
    """
    Create a Certificate which is issued by the Certificate Authority present in the CA Pool.
    The key used to sign the certificate is created by the Cloud KMS.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: set a unique name for the CA pool.
        ca_name: the name of the certificate authority which issues the certificate.
        certificate_name: set a unique name for the certificate.
        common_name: a title for your certificate.
        domain_name: fully qualified domain name for your certificate.
        certificate_lifetime: the validity of the certificate in seconds.
        public_key_bytes: public key used in signing the certificates.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    # The public key used to sign the certificate can be generated using any crypto library/framework.
    # Also you can use Cloud KMS to retrieve an already created public key.
    # For more info, see: https://cloud.google.com/kms/docs/retrieve-public-key.

    # Set the Public Key and its format.
    public_key = privateca_v1.PublicKey(
        key=public_key_bytes,
        format_=privateca_v1.PublicKey.KeyFormat.PEM,
    )

    subject_config = privateca_v1.CertificateConfig.SubjectConfig(
        subject=privateca_v1.Subject(common_name=common_name),
        subject_alt_name=privateca_v1.SubjectAltNames(dns_names=[domain_name]),
    )

    # Set the X.509 fields required for the certificate.
    x509_parameters = privateca_v1.X509Parameters(
        key_usage=privateca_v1.KeyUsage(
            base_key_usage=privateca_v1.KeyUsage.KeyUsageOptions(
                digital_signature=True,
                key_encipherment=True,
            ),
            extended_key_usage=privateca_v1.KeyUsage.ExtendedKeyUsageOptions(
                server_auth=True,
                client_auth=True,
            ),
        ),
    )

    # Create certificate.
    certificate = privateca_v1.Certificate(
        config=privateca_v1.CertificateConfig(
            public_key=public_key,
            subject_config=subject_config,
            x509_config=x509_parameters,
        ),
        lifetime=duration_pb2.Duration(seconds=certificate_lifetime),
    )

    # Create the Certificate Request.
    request = privateca_v1.CreateCertificateRequest(
        parent=caServiceClient.ca_pool_path(project_id, location, ca_pool_name),
        certificate_id=certificate_name,
        certificate=certificate,
        issuing_certificate_authority_id=ca_name,
    )
    result = caServiceClient.create_certificate(request=request)

    print("Certificate creation result:", result)

Verifica el certificado. Tu certificado debe tener un sujeto que contenga una sola SAN de URI. La SAN que certifica una identidad es en el siguiente formato:
```
spiffe://IDENTITY_POOL_ID.PROJECT_NUMBER.global.workload.id.goog/subject/<oidc_subject_number>
```
Reemplaza lo siguiente:
- IDENTITY_POOL_ID: Es el identificador único del Workload Identity.
- PROJECT_NUMBER: Es el número del proyecto en el que creaste el grupo de Workload Identity.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por el Los recursos de CA Service que creaste después de este documento las siguientes operaciones con Google Cloud CLI:

Borra la AC que creaste.
1. Inhabilita la AC:
```
gcloud privateca roots disable CA_ID --pool CA_POOL_ID  --location LOCATION
```
  Reemplaza lo siguiente:
  - CA_ID: Es el identificador único de la AC.
  - CA_POOL_ID: Es el identificador único del grupo de AC.
  - LOCATION: Es la ubicación del grupo de AC.
2. Borra la AC:
```
gcloud privateca roots delete CA_ID --pool CA_POOL_ID  --location LOCATION --ignore-active-certificates
```
  Reemplaza lo siguiente:
  - CA_ID: Es el identificador único de la AC.
  - CA_POOL_ID: Es el identificador único del grupo de AC.
  - LOCATION: Es la ubicación del grupo de AC.
Borra el grupo de AC que creaste.

Nota: No puedes borrar un grupo de AC hasta que hayas borrado de forma permanente todos los AC que contenga. El tiempo de vencimiento predeterminado de una AC es de 30 días.
```
gcloud privateca pools delete CA_POOL_ID --location LOCATION
```
Reemplaza lo siguiente:
- CA_POOL_ID: Es el identificador único del grupo de AC.
- LOCATION: Es la ubicación del grupo de AC.
Para obtener más información sobre el comando gcloud privateca pools delete, consulta gcloud privateca groups delete.
Borra el grupo de identidades para cargas de trabajo que creaste:
```
gcloud iam workload-identity-pools delete IDENTITY_POOL_ID --location global
```
Reemplaza lo siguiente:
- IDENTITY_POOL_ID: El identificador único del grupo de identidades para cargas de trabajo.
Borra la cuenta de servicio que creaste:
```
gcloud iam service-accounts delete SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com
```
Reemplaza lo siguiente:
- SERVICE_ACCOUNT: Es el identificador único de la carga de trabajo. de identidades para usuarios.
- PROJECT_ID: Es el proyecto al que pertenece la cuenta de servicio.

El rol de IAM Solicitante de certificados de cargas de trabajo del servicio de AC (privateca.workloadCertificateRequester) restringe el asunto del certificado emitido solo a la identidad del solicitante. Asegúrate de que a los usuarios o cargas de trabajo que usan la función de reflexión de identidad solo se les otorgue el rol de IAM Solicitante de certificados de cargas de trabajo del servicio de AC (privateca.workloadCertificateRequester). Para cumplir con el principio de privilegio mínimo, puedes evitar otorgar el rol de IAM Solicitante de certificados de servicios de AC (privateca.certificateRequester).

¿Qué sigue?

Obtén información sobre los diversos controles de políticas que te permiten controlar las propiedades del certificado solicitado más allá de una identidad reflejada.
Obtén información para configurar y administrar varios controles de políticas.